Une campagne d'escroquerie au Royaume-Uni, sous couvert d'une enquête auprès des consommateurs, usurpe l'identité de grandes enseignes de distribution
16 avril 2026
Par Samantha Clarke, Archa Archa, Hiwot Mendahun et l'équipe de recherche sur les menaces de Mimecast
- Une campagne de Phishing multimarque de plus de 42 000 tentatives a ciblé les consommateurs britanniques au cours des 90 derniers jours, par le biais d'escroqueries se faisant passer pour Boots et Superdrug.
- La promesse de cadeaux ou de récompenses en échange de la participation à de faux sondages de satisfaction client
- Collecte d'informations personnelles détaillées et de données de carte de paiement en vue de la facturation frauduleuse de 2,95 £ au titre des frais de livraison sur ""
- Infrastructure de Phishing hébergée sur des compartiments AWS S3, utilisant des domaines piratés comme pages de destination
- Les sites clones de sites officiels de marques renforcent la confiance des victimes et augmentent les taux de transmission des identifiants
Présentation de la campagne
L'équipe de recherche sur les menaces de Mimecast a identifié un ensemble de campagnes de Phishing ciblant les consommateurs britanniques, au moyen d'escroqueries se faisant passer pour des marques de distribution et des prestataires de services connus. Ces campagnes recourent à des techniques d’ingénierie sociale qui promettent des cadeaux gratuits, des récompenses exclusives ou des opérations urgentes sur le compte afin d’inciter les destinataires à divulguer leurs informations personnelles et leurs coordonnées bancaires.
Contrairement aux campagnes de Phishing traditionnelles qui reposent largement sur le vol d’identifiants, ces opérations combinent plusieurs étapes de collecte de données : elles commencent par recueillir des informations personnelles via de faux sondages, puis capturent les informations de paiement sous prétexte de frais de livraison ou de traitement symboliques. Les frais de livraison de 2,95 £ pour le service « "» (" ) correspondent à un montant soigneusement calculé : suffisamment bas pour ne pas éveiller immédiatement les soupçons, mais suffisamment élevé pour valider les données de cartes de paiement volées en vue d'une utilisation frauduleuse ultérieure.
Déroulement de l'attaque et infrastructure technique
Ces campagnes suivent un schéma d'attaque cohérent en plusieurs étapes :
- Premier contact : les destinataires reçoivent des e-mails dont l'objet, urgent ou accrocheur, fait référence à des mises à jour de compte, à des problèmes de livraison ou à des récompenses exclusives
- Mise en place de la page de destination : les URL redirigent les victimes vers des pages de Phishing initialement hébergées sur des compartiments AWS S3, avant de les rediriger vers des domaines compromis ou contrôlés par les attaquants
- Usurpation d'identité de marque : les pages de destination présentent des clones quasi identiques, au pixel près, des sites web officiels des marques, avec notamment les logos, le style et la mise en page authentiques.
- Participation à des enquêtes : les victimes répondent à de fausses enquêtes de satisfaction client dans lesquelles on leur demande leur avis sur des produits ou des services
- Choix de la récompense : une fois le questionnaire rempli, les victimes choisissent parmi plusieurs options de récompenses proposées par "" (il s'agit généralement de produits de soin pour la peau, de cartes-cadeaux ou d'articles promotionnels)
- Collecte de données à caractère personnel : le premier formulaire vous demande votre nom complet, votre adresse postale, votre numéro de téléphone et votre adresse e-mail
- Collecte des données de paiement : le deuxième formulaire permet de recueillir l'intégralité des informations relatives à la carte de paiement (numéro de carte, date d'expiration, code CVV) pour les frais de livraison de 2,95 £ liés à l'"."
- Redirection vers un site légitime : une fois les données transmises, les victimes sont redirigées vers le site officiel de la marque, ce qui donne l'impression qu'il s'agit d'une transaction légitime
Étude de cas : l'arnaque à l'enquête de Boots UK
Les destinataires de la campagne de Phishing visant Boots reçoivent l'un des deux types principaux d'e-mails conçus pour paraître légitimes et susciter l'intérêt.
- Notification relative à un cadeau après un sondage : des e-mails indiquent que le destinataire a récemment répondu à un sondage de satisfaction client et qu’il a été sélectionné pour recevoir un cadeau gratuit en remerciement de sa participation.
- Demande de participation à une enquête post-achat : les e-mails font référence à un achat récent effectué chez Boots et invitent le destinataire à répondre à une brève enquête de satisfaction client, en lui promettant un cadeau s'il y répond.
Ces deux approches s'appuient sur les schémas habituels d'interaction avec la clientèle de détail. Les consommateurs sont habitués à recevoir des demandes d'avis après achat et des communications relatives aux programmes de fidélité de la part des commerçants, ce qui rend ces incitations particulièrement efficaces. La promesse d'un cadeau gratuit incite à l'engagement, tandis que la référence à une activité récente (qu'elle soit inventée de toutes pièces ou inspirée d'informations issues d'une fuite de données) confère de la crédibilité au message.
L'analyse de la campagne d'usurpation d'identité visant Boots révèle une mise en œuvre technique sophistiquée. La page de Phishing, initialement hébergée sur un compartiment de stockage AWS S3, redirige vers un domaine compromis.
La page d'accueil se présente comme une copie de 1,4 Mo de la page d'accueil officielle de Boots.com ; elle contient 19 549 lignes de code HTML qui reproduisent l'apparence visuelle du site authentique.
Le principal élément malveillant est une fenêtre modale déguisée en bannière de consentement aux cookies de OneTrust. Une boîte de dialogue relative à la confidentialité, authentique et bien connue des internautes britanniques. La fenêtre contextuelle affiche : "Vous avez été sélectionné(e) pour participer à notre enquête de satisfaction client. Nous apprécions vraiment vos commentaires et, pour vous remercier, nous vous offrons un cadeau spécial : un coffret de 5 de nos produits de soin les plus vendus, offerts par notre sponsor, Skinny Tan."
Cette approche tire parti de la familiarité des utilisateurs avec les bannières de confidentialité tout en créant un sentiment d'urgence autour de récompenses exclusives. Le bouton « Démarrer l'enquête » (Start survey) de l'", accessible à l'adresse" — dont le style est identique à celui d'un véritable bouton de consentement de Boots — envoie une requête POST au script PHP qui lance la séquence de collecte des identifiants.
L'utilisateur est invité à répondre à quelques questions sous la forme d'un sondage, puis redirigé vers une page où il doit choisir parmi une sélection de cadeaux gratuits.
Une fois le cadeau choisi, ils sont invités à remplir un formulaire dans lequel ils doivent indiquer des informations personnelles telles que leur nom, leur adresse e-mail ou postale et leur date de naissance.
Sur la dernière page, on vous demande ensuite de régler un petit montant de 2,95 £ pour la livraison du cadeau. Une fois le paiement effectué, l'utilisateur est redirigé vers le site officiel de Boots.
Variantes de campagne et expansion géographique
Bien que ces activités visent principalement les consommateurs britanniques, certains éléments indiquent que les auteurs de ces menaces étendent leurs opérations et ciblent des victimes à l'échelle internationale :
Les campagnes de TV Licensing tirent parti des exigences réglementaires propres au Royaume-Uni en matière de possession d'un téléviseur, ce qui confère un caractère d'urgence aux mises à jour de facturation et à la vérification des informations de paiement. Cette arnaque coïncide avec les périodes de renouvellement de la redevance audiovisuelle, ce qui rend les victimes plus vulnérables.
Les escroqueries liées aux livraisons EVRi exploitent les attentes apparues après la pandémie concernant la fréquence des livraisons de colis et les notifications de livraisons manquées. Ces campagnes vous demandent de fournir des informations personnelles et vos coordonnées bancaires afin de "reprogrammer" des livraisons qui n'existent pas.
L'expansion internationale comprend des campagnes se faisant passer pour Costco (ciblant plusieurs pays) et Shoppers Drug Mart (ciblant le Canada), ce qui laisse supposer soit une expansion géographique de la part du même acteur malveillant, soit une réutilisation des outils par des opérations affiliées.
Indicateurs de compromission (IOC)
Campagne de Boots au Royaume-Uni
Exemples d'objets d'e-mail :
- Boots : un cadeau à l'intérieur – Donnez-nous votre avis ! N° 748893
- Donnez-nous votre avis sur & et profitez des avantages Boots Rewards !
- Votre avis compte – Répondez dès aujourd’hui à l’enquête Boots ! N° 314121
- Boots Rewards : profitez dès aujourd'hui de votre cadeau dans le cadre de la promotion « & » ! N° 225678
- Boots™ Répondez à notre enquête et recevez un cadeau de remerciement ! N° : 210751
Phishing URLs:
- hxxps://s3.amazonaws[.]com/customerinformationgateway/cvgr.html
- hxxps://s3.amazonaws[.]com/customerfreeproduct/bootssurveyonline.html
- hxxps://matakesiri.s3.dualstack.us-east-1.amazonaws[.]com/5.html
- hxxps://s3.amazonaws[.]com/accessgateway/jhadsuc.html
- hxxps://s3.amazonaws[.]com/bahsduhyc/getyourfreebootsgift.html
- hxxps://s3.amazonaws[.]com/recivefreegift/freesurvey.html
- hxxps://s3.amazonaws[.]com/littlescruff/8.html
Domaine de la page de destination :
- bartonsurveying[.]com
Campagne Superdrug
Exemples d'objets d'e-mail :
- Répondez à notre enquête et recevez des récompenses Superdrug
- Idée cadeau ! Ne manquez pas votre cadeau gratuit chez Superdrug
- Donnez-nous votre avis et recevez de superbes récompenses de la part de Superdrug
- Donnez votre avis sur & et bénéficiez d'avantages exclusifs chez Superdrug !
- Votre avis compte | Soyez récompensé par Superdrug
- Votre cadeau Superdrug vous attend – Réclamez-le dès maintenant : Réf. 66630-7691
Phishing URLs:
- hxxps://s3.amazonaws[.]com/newsmachinet/1.html
- hxxps://andiandilon.s3.dualstack.us-east-1.amazonaws[.]com/sdrug.html
- hxxps://s3.amazonaws[.]com/heilbronrose/1.html
- hxxps://s3.amazonaws[.]com/heilbronrose/6.html
- hxxps://s3.amazonaws[.]com/deltine2002y/9.html
Objectifs
Couverture géographique : principalement le Royaume-Uni ; en expansion vers le Canada et les marchés internationaux
Secteur d'activité : tous les secteurs confondus
Recommandations
Formation à la sensibilisation à la sécurité destinée aux utilisateurs
- Sensibilisez les collaborateurs aux spécificités de cette campagne
- Formez le personnel à vérifier les missions inattendues par le biais de canaux de communication distincts avant de cliquer sur des liens
- Insistez sur la vérification de l'authentification : les utilisateurs doivent toujours vérifier la barre d'adresse avant de saisir leurs identifiants. Les pages de connexion Microsoft légitimes utilisent les domaines login.microsoftonline.com ou login.microsoft.com, et non des variantes de powerappsportals.com.
Recherche proactive des menaces
- Recherchez dans les journaux de réception des e-mails à l'aide des indicateurs de compromission (IOC) répertoriés
Considérations à long terme
Les organisations doivent prendre conscience que les campagnes frauduleuses sous forme de sondages exploitent des mécanismes psychologiques fondamentaux liés à la réciprocité et aux offres à durée limitée. À mesure que ces campagnes gagnent en sophistication, tant au niveau de l'usurpation d'identité des marques que de leur mise en œuvre technique, les stratégies de détection doivent évoluer au-delà des indicateurs traditionnels pour inclure l'analyse comportementale et l'évaluation contextuelle des offres d'enquêtes et de récompenses reçues par e-mail.
Gardez une longueur d'avance en matière de renseignements sur les menaces
Rejoignez les milliers de professionnels de la sécurité qui s'appuient sur nos alertes sélectionnées avec soin, nos analyses d'experts et nos indicateurs de compromission (IOC) liés aux campagnes pour se prémunir contre les dernières cybermenaces.
Inscription réussie
Merci de vous être inscrit pour recevoir nos notifications relatives aux informations sur les menaces.
Nous vous contacterons !